Ako predísť útoku, ktorý by nemal vôbec vzniknúť

/ /

15. 04. 2026

Pár rokov dozadu sme boli prizvaní k vážnemu incidentu firmy, ktorá riešila finančné operácie. Spoločnosť potrebovala vyriešiť problém s infiltráciou, ktorý by za normálnych okolností nikdy nevznikol. Útok totiž nebol cielený, nebol ani príliš sofistikovaný a útočník o firme pravdepodobne vedel len veľmi málo. Bol to typický oportunistický útok, akých je dnes plný internet… a predsa vo firme nášho klienta to spôsobilo prievan ako nikdy predtým. Stačil pritom len jeden nezabezpečený vstupný bod vystavený do sveta.

Zraniteľnosť v nástroji JetBrains TeamCity sa krátko po jej zverejnení stala súčasťou automatizovaných skenov internetu. Server nášho klienta bol medzi tými, ktoré na tento „digitálny radar“ odpovedali, a zrazu sa všetko rozbehlo. Útočník využil slabinu, nasadil malvér a otvoril si komunikačný kanál na riadiaci server, odkiaľ dostával ďalšie inštrukcie. V priebehu pár hodín pribudli plánované úlohy, systémové služby a napokon aj nástroj vzdialeného manažmentu.

Výsledok bol z pohľadu útočníka neuveriteľný úspech. Získal plný prístup k serveru s root oprávneniami, možnosť pracovať s dátami, kľúčmi či internými systémami. Z pohľadu firmy sa však nedialo absolútne nič. Nikde sa nespustili žiadne alerty, žiadne varovania a celkom logicky ani žiadna reakcia. Incident vyplával na povrch až v momente, keď už bolo potrebné riešiť jeho následky.

Základ je zabezpečený perimeter a koncové zariadenia

Technologická firma, ktorá na svoju podnikateľskú činnosť využívala desiatky virtuálnych serverov, nebola zaujímavá v tom, čo na ochranu proti útokom z vonku mala, ale skôr v tom, čo nemala. Chýbal firewall, segmentácia aj sledovanie koncových zariadení. Ak by existoval firewall na perimetri, obmedzil by alebo úplne zablokoval prístup k zraniteľnej službe. Vo firme zároveň chýbalo akékoľvek riešenie sledujúce koncové zariadenia v sieti, ktoré by dokázalo zachytiť podozrivé správanie v momente, keď sa začalo diať. Kombinácia týchto dvoch vrstiev by s vysokou pravdepodobnosťou zastavila útok ešte predtým, než by sa stihol rozvinúť do akejkoľvek škodlivej podoby.

Incident nebol ukážkou sofistikovaného hacku, ale skôr toho, že aj jednoduchý útok dokáže narobiť neporiadok tam, kde chýbajú základné bezpečnostné opatrenia. Firma, ktorej sme pomáhali neporiadok upratať, pritom zrazu nemala problém utratiť za bezpečnostné nástroje a opatrenia nemalé sumy.

“Kybernetická bezpečnosť je dnes komplexná disciplína s množstvom nástrojov a prístupov, no v praxi sa opakovane potvrdzuje, že všetko stojí na niekoľkých kľúčových vrstvách,” vysvetľuje Jakub Koštial, expert na implementáciu technológií z firmy Binary Confidence. Notebooky, servery či pracovné stanice predstavujú miesto, kde sa reálne vykonáva škodlivá aktivita. Tu sa spúšťajú procesy, manipulujú sa dáta a dochádza k eskalácii oprávnení. “Ak firma nemá prehľad o tom, čo sa deje na úrovni endpointov, v praxi nevie, že je kompromitovaná, kým nie je neskoro,” dodáva.

Moderné riešenia ako ESET, SentinelOne alebo Palo Alto Cortex XDR preto neslúžia len na detekciu známeho malvéru, ale analyzujú správanie systémov v reálnom čase. Vedia identifikovať anomálie, pokusy o perzistenciu či komunikáciu s podozrivými servermi a okamžite na ne reagovať. Bez tejto vrstvy zostáva organizácia prakticky slepá. Moderné endpoint riešenia sú pokročilejšie než legacy antivírusy a poskytujú aktívnu úroveň ochrany.

Firewall je zase prvá línia obrany medzi internou infraštruktúrou a internetom. Jeho úlohou nie je len „pustiť alebo nepustiť“ komunikáciu, ale aktívne riadiť, čo sa do siete dostane a za akých podmienok. V prostredí, kde sú služby často vystavené online, je správne nastavený perimeter nevyhnutnosťou.

Technológie od výrobcov ako Palo Alto Networks či Fortinet dnes umožňujú hlbokú analýzu sieťovej prevádzky, identifikáciu hrozieb a kontrolu aplikácií. Firewall je aktívny bezpečnostný komponent, ktorý dokáže blokovať útoky ešte predtým, než sa dostanú k cieľovým systémom.

Nie všetko treba vymeniť. Využívajte to, čo už máte naplno!

Mnohé firmy dnes už technológie vlastnia. Samotná prítomnosť nástroja ale neznamená, že sa aj efektívne využíva. Proces implementácie technológií by nemal byť o ich nákupe, ale mal by sa začať pochopením prostredia, pokračovať návrhom vhodného riešenia a vrcholiť konfiguráciou. Ako bude systém nastavený, do veľkej miery rozhoduje o tom, či nástroj bude generovať reálne informácie alebo zbytočný šum. Chybne nastavený systém môže ignorovať kritické hrozby, zatiaľ čo by mal zastaviť útok v jeho najskoršej fáze.

Predstava, že vyššia bezpečnosť znamená automaticky nové nákupy, je podľa Jakuba Koštiala jedným z najčastejších omylov. “V praxi sa opakovane stretávame s tým, že organizácie majú kvalitné technológie, no chýba im správna konfigurácia, integrácia alebo pochopenie ich možností. V Binary Confidence sa na bezpečnosť pozeráme pragmaticky a vendor-agnosticky.”

Jakub Koštial, expert Binary Confidence na implementation services

Rešpektujeme existujúci technologický stack klienta a snažíme sa ho optimalizovať tak, aby dával zmysel v jeho konkrétnom prostredí. Nové riešenia odporúčame len vtedy, keď skutočne prinášajú pridanú hodnotu. Takýto prístup umožňuje dosiahnuť vyššiu úroveň bezpečnosti rýchlejšie, efektívnejšie a bez zbytočných nákladov. A čo je dôležité, bez zásadného narušenia fungovania organizácie.

Čo všetko vieme dodať?

Incident z úvodu nebol ničím výnimočným a podčiarkuje to, s čím sa stretávame pomerne často a čo potvrdzujú aj štatistiky. Globálny prieskum z minulého roku hovorí, že až 20 % firiem je schopných podnikať bez akéhokoľvek typu zabezpečenia. Viac ako polovica podnikov si uvedomuje, že sú potenciálnym cieľom, no iba štvrtina zverí správu svojej bezpečnosti profesionálom. Existujú pritom pomerne jednoduché riešenia, ktoré vašu bezpečnosť zvýšia skokovo a pomocou finančne aj časovo nenáročných vylepšení.

“Keď u nášho klienta postavíme základy, implementácia môže zvyčajne prirodzene pokračovať smerom k plnohodnotnému bezpečnostnému ekosystému. Cieľom pritom nie je mať „čo najviac nástrojov“, ale vytvoriť funkčný, prepojený organizmus, ktorý dokáže reagovať na reálne hrozby,“ vysvetľuje Jakub Koštial. Implementáciu technológií preto netreba vnímať ako jednorazový projekt, ale pokojne aj ako dlhodobý proces, ktorý dáva vaším draho nakúpeným technológiám zmysel. Zároveň treba myslieť na to, že implementácia technológií nie je všetko a ak chcete mať najvyšší pocit bezpečnosti, sú nevyhnutné monitoring a priebežný manažment.